iOS e sideload: Apple spiega perché permetterlo sarebbe un grave rischio per la sicurezza
by:Roberto Pezzali
编译:千家智能家居网
Apple 发布了一份白皮书,解释了为什么应用程序sideload(侧载)会成为 iPhone 的一个大问题,尤其是从安全和隐私的角度来看。过去几周的热门词是“sideload侧载”:大多数人可能甚至不知道它是什么意思,但这个小词可能会引发连锁反应,产生不可预测的影响。
Sideload 意味着直接在操作系统上加载应用程序APP,而无需通过应用程序APP商店,因此不受管理商店的控制。
在蒂姆库克上周发表声明之后,苹果公司今天发布了一份完整的公开白皮书,标题为“为数百万应用程序构建可信的生态系统”,解释了为什么侧载会是一个可怕的安全隐患。
除了一系列关于侧载风险的警告外,该文件还给出了一系列涵盖四种风险情况的实例。
“艾玛问她的父亲约翰,是否可以玩她从在学校的朋友那里听说的游戏。 John 在 App Store 上搜索该游戏,但开发者仅在第三方应用商店中提供该游戏。这个要求让父亲有点不舒服,但他还是决定下载,因为女儿坚持要尝试这款游戏,而第三方应用商店声称该应用适合儿童。后来,当艾玛在汽车后座上玩游戏时,应用程序开始显示带有目标广告的外部站点的链接。约翰在下载游戏时添加了他的信用卡信息,为艾玛购买了一个入门包,但他没有意识到 iPhone 的家长控制不适用于这个旁加载的应用程序。在玩游戏时,Emma 购买了许多额外的回合和特殊物品,却没有意识到她父亲实际上并未批准这些购买。该应用程序还整合了第三方跟踪器,即使该应用程序是为儿童销售的,它们也会收集、分析艾玛的数据并将其出售给数据经纪人。”
苹果的第一个例子提出了一个问题:一个没有通过商店控制的应用程序可能没有内部控制购买,甚至没有对未成年人进行限制的内容。
然后白皮书继续第二个例子: “当约翰和艾玛在公园里时,约翰看到了一个应用程序的广告,该应用程序为知名应用程序开发商创建的自拍滤镜,并决定用它与艾玛自拍。 该公告将他带到一个下载应用程序的页面,该页面类似于 App Store 上的应用程序开发者的页面。 约翰认为他受到了保护,但没有意识到他实际上是从第三方应用商店下载该应用的调整版本。 John 认为下载的应用程序来自知名且值得信赖的开发人员,因此他授予访问他照片的权限。 当应用程序获得访问权限时,约翰意识到他犯了一个错误:应用程序威胁要从他的相机胶卷中删除所有照片,除非他输入信用卡详细信息并支付赎金。”
经典的勒索软件风险,实际上在过去两年中在 Android 上已经多次发现应用程序,导致一系列用户面临问题,一个是 AndroidOS / MalLocker.B 勒索软件,另一个是与 Covid 相关的应用程序。两者都必须从第三方应用程序下载,并绕过谷歌的检查。
第三个例子涉及盗版和诈骗:“约翰的一个朋友沉迷上了她使用两个月的健身应用程序,她给约翰发了一条消息说试试看,因为如果约翰使用他的邀请,她可以免费使用两个月.该消息指向加载在外部站点上的应用程序,约翰下载该应用程序并订阅每月订阅,并相信他朋友的建议。可惜他们俩都不明白这是盗版的,应用在支付管理上发生了变化:两人每个月支付的钱都没有给开发商设计和构建者,约翰相信他正在付费支持这款出色的健身应用程序的开发者——但相反,他正在为诈骗者掏腰包,在不知不觉中支持一项剥夺开发者收入的欺诈计划。”
最后第四个例子展示隐私和数据问题:“约翰听说了一款新的睡眠跟踪应用程序,但它在 App Store 上不可用,只能从第三方应用程序商店下载它,使用他的电子邮件地址注册并开始使用它来监控他的睡眠质量。 该应用声称其用户的健康和使用数据完全保密,并且不会将它们与外部数据链接或与第三方共享。 然而,这种说法被证明是完全错误的。 由于该应用程序未经任何人审查,因此应用程序开发人员可以随心所欲地做任何他想做的事情——他在没有征得他的许可的情况下使用他的电子邮件地址跟踪了约翰。 这允许开发者将数据与从其他应用程序收集的信息联系起来,将他们的健康数据出售给经纪人,而无需用户许可,也不必担心被阻止。”
苹果公司的担忧还涉及打开一扇门,侧载仍然是一扇门,可能会带来的问题。 今天,有数以千计的网络犯罪分子正在研究各种可能的方法来入侵 iPhone,因为他们知道 Apple 用户对功能服务有着更多需求,有更高的消费倾向。
为什么在 Mac 上可以,在 iOS 禁止?
然而,有些问题白皮书没有回答,但苹果仍然有答案。为什么在 macOS 上允许旁加载,而在 iOS 上反对?
苹果的动机各不相同,首先,它提高了计算机用户的风险意识,从历史上看,用户对自己安装的东西和做的事情更敏感。
还有第二个因素,与当前数据相关的因素:Mac上需要保护的敏感数据比手机上需要保护的数据要少,手机是我们访问数百项服务的关键,包括最近的医疗服务。电话是人们生活的中心,电脑是我们经常使用的工具,但它不是那么私人。
还有第三个问题:根据苹果的说法,计算机用户的需求和习惯是完全不同的。一般情况下,美国家庭安装的电脑软件只有在最初设置阶段所需要的,新应用程序的安装不像iPhone那样是连续的,在iPhone上,每个月下载的应用程序和游戏的平均水平要高得多。
最后,这是一件小事,还有与未成年人有关的问题:今天,几乎没有哪个孩子会手里拿着一个Mac,可能iPhone最终落入了一个孩子的手中,玩游戏,不受控制,最大的危险是强迫性in-app采购问题。
苹果在报告中的检查中给出了一些数字:近一百万个新应用程序或现有应用程序更新被拒绝或删除。
其中 150,000 个是垃圾邮件或其他应用程序的副本,215,000 个用于违反隐私准则,超过 48,000 个用于包含隐藏或未记录的功能,95,000 个用于导致指控或诈骗的欺诈性违规行为。
据 Apple 称,该公司已阻止了超过 15 亿美元的潜在欺诈交易,并通过审计将 470,000 名开发人员以欺诈为由从 Apple Developer Program 中除名。 205,000 次开发者注册尝试因欺诈而被拒绝,2.44 亿客户帐户因欺诈活动(包括虚假评论)而被封锁。还拒绝了 4.24 亿次出于欺诈目的的帐户创建尝试。
参与评论 (0)